设置新的 Shibboleth IdP 以使用现有的 SAML SP

Question

希望这不是重复或过于宽泛。我只是觉得我需要比我能找到的任何其他信息更多的信息。

我有一个程序/服务器，它已经内置了一个正常工作的 SAML SP。我正在尝试将其连接到运行 Windows Server 的内部服务器上的测试 Shibboleth IdP (V3.3.3)。我已经安装并连接到我们的 Active Directory 用户。该文档非常适合实现这一点。

现在我不知道该如何进行。我看到很多关于在 SP 和 IdP 之间交换配置/XML 信息和证书的信息。我相信我有一个有效的 SP XML 和证书可以提供给 IdP，但我不知道：

1. 在 IdP 安装中将 SP XML 信息放在何处
2. 在 IdP 安装中将 SP 证书放在何处（或设置/配置证书路径）
3. 从哪里获得 IdP 证书（我认为默认设置会为我生成一些东西？不清楚）
4. IdP 登录路径在哪里
5. 无论我是否需要配置其他任何东西来让两人交谈

1 到 4 可能是我似乎无法找到相关信息的最大困惑。 Shibboleth 文档似乎假设我比我更熟悉配置 IdP。它告诉我在哪里配置任何东西/所有可能的东西，但我不知道我应该配置什么。

无论如何，感谢您对此提供的任何帮助。我一直在浪费大量时间试图弄清楚这一点。

Answer 1

为了回答您的五 (5) 个问题，不失一般性，我们假设

(I) SAML IdP的元数据文件为idpsaml-metadata.xml

（二）SAML SP的元数据文件为sp-example-org.xml

问答

1. 在 IdP 安装中将 SP XML 信息放在何处

答案：/opt/shibboleth-idp/metadata/sp-example-org.xml

1. 在 IdP 安装中将 SP 证书放在何处（或设置/配置证书路径）

Answer：SAML SP 的元数据文件由 SP 证书组成。 SAML IdP 将从 SAML SP 的元数据（例如 sp-example-org.xml）中提取 SP 证书

1. 从哪里获得 IdP 证书（我认为默认设置会为我生成一些东西？不清楚）

回答：SAML IdP 的元数据文件包含所有 IdP 证书（由 SAML IdP 的默认设置生成）。

您需要将 SAML IdP 的元数据文件（例如 idpsaml-metadata.xml）放入 SAML SP 的主目录，例如 /etc/shibboleth/idpsaml-metadata.xml

4. IdP 登录路径在哪里

回答：通常 SAML SP 使用 HTTP-POST 端点作为 SAML IdP 登录路径，例如，

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-Server-URL/idp/profile/SAML2/POST/SSO"/>

您还需要使用 LDAP 用户身份验证配置 Shibboleth IdP。

/opt/shibboleth-idp/conf/idp.properties

/opt/shibboleth-idp/conf/ldap.properties

/opt/shibboleth-idp/conf/attribute-filter.xml

/opt/shibboleth-idp/conf/attribute-resolver-full.xml

5. 无论我是否需要配置其他任何东西来让两人交谈

回答：为了允许 SAML IdP 为 SAML SP 提供身份验证，SAML IdP 和 SAML SP 都需要交换它们的元数据。 然后您需要使用 SAML SP 配置 SAML IdP。

SAML IdP /opt/shibboleth-idp/conf/metadata-providers.xml

/opt/shibboleth-idp/conf/relying-party.xml

SAML SP

/etc/shibboleth/shibboleth2.xml

/etc/shibboleth/attribute-map.xml

备注：

GitHub 存储库中的How to build and run Shibboleth SAML IdP and SP using Docker container 提供了 Shibboleth IdP 和 SP 的示例配置文件。